Infecté par le virus win32 : Beagle - YN [Résolu]

Lut'

Va sur ce site :

http://www.zonavirus.com/datos/descargas/95/elibagla.asp

En bas de cette page tu trouveras un outil à télécharger, clique sur "Descargar Elibagla" (le numéro de version change au fur et à mesure des mises à jour)
installe ce fichier sur le bureau.
ensuite double-clic sur Elibagla.exe

Vérifie que la case "eliminar ficheros automaticamente" est cochée

Clique sur "explorar" puis laisse-le travailler.

Puis poste moi le rapport situé dans C:\infosat.txt

a+

Merci pour ton aide ! C'est vraiment sympa...

je suis tes instructions: voici le fichier

il a détecté qqch cependant à 3 reprises il m'a affiché un message genre 'peut pas accédé au fichier ....'

qu'en penses-tu


Tue Jan 29 20:13:42 2008
EliBagle v10.93 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.93
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.93
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"

Tue Jan 29 20:14:36 2008
EliBagle v10.93 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 9189
Nº Total de Ficheros: 101494
Nº de Ficheros Analizados: 12756
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 0

Re

Entre cyril c'est normal ;)

******************

Lance ton pc en MSE , avec prise en charge réseaux Afin d'avoir Internet. Puis cela fait ,

Va sur ce site , /!\ Internet Explorer obligatoire /!\ , Clique sur ' J'accepte ' , Installe les ActiveX si necessaire. Clique sur ' installer ' puis ' click here to scan '( ou : cliquez ici pour scanner ).
Et poste moi le rapport.

/!\ NE VA QUE SUR CE SITE /!\

Puis par le même occasion

Peux tu envoyer ce fichier " C:\Muestras\SROSA.SYS.Muestra EliBagle v10.93 " à l'adresse virus@satinfo.es ainsi que ce fichier " C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.93 " à la même adresse stp ?


a+

sorry,

pas moyen d'établir une connexion internet avec cette machine...

as-tu une autre approche à proposer ?
je peux faire des transferts de fichiers via un disk externe

j'envoie les fichiers au site espagnol.

Okk , avant de lancer des programmes de désinfections puissants , fait ceci :


Télécharge HJT

Place le dans ' C:\programmes\ ' Une fois cela fait , merci de renommer le fichier ' Hijackthis.exe ( dans le dossier dans C:\ ) en HJT.exe

Puis lance-le et choisi l'option '' do a system scan and save a logfile '' et poste moi le rapport ( qui apparait sur le bloc-note )


A+

je ne peux pas le lancer...
hijackthis n'est pas une application win 32 valide !!

Lance-le en MSE alors stp.

A+

voila qqch d'intéressant:
htj.exe en mode sans échec (tel que installé avant) était invalidé mais après réinstallation en mode sans échec et il fait la détection

ca avance....



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:04:41, on 29.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [AppleTime] C:\WINDOWS\system32\AppleTime.exe
O4 - HKLM\..\Run: [Brightness] C:\WINDOWS\system32\Brightness.exe
O4 - HKLM\..\Run: [Apple_KbdMgr] "C:\Program Files\Apple Keyboard Support\KbdMgr.exe"
O4 - HKLM\..\Run: [SigmatelSysTrayApp] sttray.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [vspdfprsrv.exe] C:\Program Files\Visage\PDF Printer\vspdfprsrv.exe --background
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WinMem] C:\Program Files\WinCleaner Memory Optimizer\WinMemOpt.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-507921405-1214440339-725345543-1003\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: EPFL VPN Client.lnk = C:\Program Files\EPFL\VPN Client\vpngui.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ArcGIS License Manager - Unknown owner - C:\PROGRA~1\ESRI\License\arcgis9x\lmgrd.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\EPFL\VPN Client\cvpnd.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\WINDOWS\system32\STacSV.exe

Bonsoir J'ai le même pb
J'ai fait la même manip et voici le fichier:

Tue Jan 29 23:03:24 2008
EliBagle v10.93 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\FLEC006.EXE.Muestra EliBagle v10.93
a "virus@satinfo.es". Gracias.
C:\DOCUMENTS AND SETTINGS\ADMINISTRATEUR\APPLICATION DATA\M\FLEC006.EXE --> Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\ADMINISTRATEUR\APPLICATION DATA\M\LIST.OCT --> Eliminado Bagle
Restaurada Clave: "SafeBoot\Minimal y Network"

Tue Jan 29 23:03:49 2008
EliBagle v10.93 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\drivers\down\14597546.EXE --> Eliminado Bagle.dldr
C:\WINDOWS\system32\drivers\down\29082046.EXE --> Eliminado Bagle.dldr
C:\WINDOWS\system32\drivers\down\43560218.EXE --> Eliminado Bagle.dldr
C:\WINDOWS\system32\drivers\down\58055140.EXE --> Eliminado Bagle.dldr
C:\WINDOWS\system32\drivers\down\67000.EXE --> Eliminado Bagle.dldr
C:\WINDOWS\system32\drivers\down\72546250.EXE --> Eliminado Bagle.dldr
C:\WINDOWS\system32\drivers\down\73390.EXE --> Eliminado Bagle.dldr
C:\WINDOWS\system32\drivers\down\867843.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\90637031.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\90653015.EXE --> Eliminado Bagle.dldr

Nº Total de Directorios: 3202
Nº Total de Ficheros: 31537
Nº de Ficheros Analizados: 8473
Nº de Ficheros Infectados: 10
Nº de Ficheros Limpiados: 10

Que dois-je faire maintenant?
merci de ta réponse

Re

Rien de visible dans ton log Hijackthis ... :/

Merci de télécharger et de lancer l'un après l'autre ( pas les 2 en même temps )



http://securityresponse.symantec.com/avcenter/FxBgleMO.exe

Puis

http://securityresponse.symantec.com/avcenter/FxBeagle.exe



Puis poste les rapports si il y a.

A+

pardon je ne savais pas je poste un nouveau message
mille excuses

voici pour fxbeagle

je teste l'autre !

j'ai fais à l'envers, c'est pas grave j'espère ?


W32.Beagle@mm/Trojan.Tooso FixTool 1.13.0


C:\Documents and Settings\Cyril\Mes documents\Ma musique\iTunes\iTunes Music\Johann Sebastian Bach\??? ???????????-?????? 2: (not scanned)
C:\Program Files\Rhinoceros 4.0\Tutorials(??): (not scanned)
C:\System Volume Information: (not scanned)
W32.Beagle, Trojan.Tooso have not been found on your computer.

Pas grave continu ;)

A+

he bien non...
je suis un peu déçu !

il ne trouve pas



C:\Documents and Settings\Cyril\Mes documents\Ma musique\iTunes\iTunes Music\Johann Sebastian Bach\??? ???????????-?????? 2: (not scanned)
C:\Program Files\Rhinoceros 4.0\Tutorials(??): (not scanned)
C:\System Volume Information: (not scanned)
F:\downloads\Rhino v4.0 full.2 crks.All tutorials & Docs ENG ONLY\Tutorials(??): (not scanned)
W32.Beagle.[M-O] has not been found on your computer.


as tu d'autres astuces en stock ?

Re

Oui , mais on continuera demain si tu le veux bien ;)

a+

merci pour tout cyril !

bonne soirée...
et à demain

Re

Télécharge http://www.f-secure.com/tools/f-bagle.exe , enregistre-le sur ton bureau.

Double clique sur l'icône jaune -> Une fenêtre noire va s'ouvrir , laisse-la travailler.

Puis poste moi le rapport si il y a.

a+

Bonjour !
suite des opérations...

j'ai lancé escan antivirus en mode sans échec et il m'a trouvé un
trojan.win32.pakes.pwy

j'ai également fait la manip avec regedit pour réstaurer la connexion wireless,
je reboot et je teste

Ok =)

a+

J'ai déjà fait tourner f-bagle...
il ne dit rien !

j'ai réparé une partie du problème de connexion mais ca ne marche toujours pas.
j'ai toujours un refus de démarage de kaspersky.

comment on s'y prend ?